Backdoor auf hunderten Apache-Servern
Backdoor auf hunderten Apache-Servern (Bild: Apache Software Foundation)

Linux/Cdorked.A Schwer entdeckbare Backdoor für Apache-Server

Sicherheitsexperten haben eine Schadsoftware entdeckt, die nur ein modifiziertes httpd-Binary verwendet. Alles andere passiert im Arbeitsspeicher. Die Angreifer sollen bereits hunderte Apache-Server unter ihre Kontrolle gebracht haben. Administratoren sollten ihre Server überprüfen.

Anzeige

Linux/Cdorked.A ist eine Backdoor für Apache-Server, die von einem Administrator nur schwer entdeckt werden kann. Mitarbeiter der Firmen Eset und Sucuri haben bereits einen Teil der Backdoor analysiert. Cdorked greift Hostingsysteme an, die per cPanel konfiguriert werden. Die Analyse wird dabei durch verschiedene Mechanismen erschwert. Eset gibt etwa an, dass normale Apache-Logs keine Hinweise geben, dass das eigene System übernommen wurde. Auch Spuren auf dem Dateisystem hinterlässt die Schadsoftware kaum. Stattdessen wird vor allem ein 6 MByte großer Teil des Arbeitsspeichers für die laufende Konfiguration verwendet. Befehle bekommt die Schadsoftware über verschleierte HTTP-Requests.

Nur eine Datei wird manipuliert

Nur das httpd-Binary wird beim Angriff modifiziert, ohne dass das Dateidatum verändert würde. Zudem wird die Datei mit dem Immutable Bit versehen, um den Zugriff zu erschweren. Der Administrator muss über das chattr-Werkzeug erst einmal an die Datei kommen, um sie dann durch eine saubere Version zu ersetzen.

Auch die Analyse von außen wird erschwert. Pro Tag und IP-Adresse verändert der kompromittierte Webserver nur ein einziges Mal sein Verhalten. Dann wird ein Anwender, der die Webseite besucht, per Redirect umgeleitet. Damit kein weiterer Redirect durchgeführt wird, speichert der Webserver beim Besucher einen Cookie. Zudem leitet die Schadsoftware keine Admin-Zugriffe um. Will der Admin etwa auf seine Konfiguration schauen, wird ebenfalls ein Cookie gesetzt.

Bei erfolgter Umleitung findet sich der Besucher der ursprünglichen Webseite woanders wieder. Hier hören die Analysen der beiden Sicherheitsfirmen auf. Klar ist bisher nur, dass die neuen Ziele Blackhole Exploit Packs verwenden, um dann den Anwender zu infizieren. Mit solchen Kits werden in der Regel zahlreiche Sicherheitslücken angegriffen. Dabei sind nicht nur Java, Flash und PDF das Ziel, sondern häufig auch der Browser. Ist dieser veraltet und hat Sicherheitslücken, kann nicht ausgeschlossen werden, dass der Rechner des Anwenders beim Besuch eines solchen Redirects übernommen wird. Ein Virenscanner reicht als alleiniger Schutz häufig nicht aus.

Eset und Sucuri empfehlen allen Apache-Admins mit cPanel, ihre Server auf eine Infektion durch die sehr fortschrittliche Schadsoftware zu untersuchen. Die Analyse ist noch nicht abgeschlossen. Sowohl Eset als auch Sucuri stellen noch allerhand Vermutungen auf, was das Vorgehen der Schadsoftware angeht. Denkbar sind die Vermietung der Infrastruktur für Spamverteilung, die weitere Verbreitung von Schadsoftware oder auch Angriffe. Bisher ist zudem unklar, wie die Server überhaupt gehackt wurden. Eset und Sucuri gehen bisher nicht davon aus, dass eine Sicherheitslücke verwendet wurde.

Linux/Cdorked.A zeigt, welcher Aufwand mittlerweile betrieben wird, um an Rechner heranzukommen und gleichzeitig eine Entdeckung zu vermeiden. Die Software verdeutlicht zudem, dass der reguläre Netzbesucher das Ziel solcher Angriffe ist. Ciscos Security Report vom Februar 2013 nannte auf dem ersten Platz Angriffe über dynamische Inhalte und CDN-Systeme (18,3), dicht gefolgt von Angriffen über Werbung (16,8 Prozent). Spielewebseiten werden zu 6,5 Prozent für Angriffe verwendet und Onlineshops erreichen immerhin noch 3,6 Prozent. Webseiten mit illegalen Softwareangeboten sind für Kriminelle kaum noch von Interesse.

Nachtrag vom 28. April 2013, 16:04 Uhr

Der Debian-Entwickler Adrian Glaubitz machte uns darauf aufmerksam, dass eine Kontrolle bei Distributionen mit signierten Paketen beispielsweise leicht über das Werkzeug debsums durchgeführt werden kann. Manipulierte Apache-Installationen sollten so einfach aufzuspüren sein. Außerdem hat Eset ein eigenes Tool veröffentlicht.


Anonymer Nutzer 30. Apr 2013

Darum prüft man so etwas von einer vertrauenswürdigen Maschine aus, mit zur Version...

rkr 30. Apr 2013

Kann es sein, dass das Script unter Ubuntu Server 12.04 immer anschlaegt?

elgooG 29. Apr 2013

Vor allem das "Nur eine Datei wird manipuliert" finde ich schon etwas dreist. Ja klar, es...

silentburn 29. Apr 2013

danke fürs mitteilen

Poison Nuke 28. Apr 2013

da es sich laut Meldung bisher scheinbar nur um cPanel Server handelt, scheint es über...

Kommentieren



Anzeige

  1. Embedded Software Entwickler (m/w)
    e.solutions GmbH, Ulm
  2. System Integration Consultant (m/w)
    SimCorp Central Europe, Bad Homburg
  3. Testingenieur/in Software und Systeme
    MOBIL ELEKTRONIK GMBH, Langenbrettach
  4. Projektmanager (m/w) Strukturen & Prozesse
    über Konstroffer & Partner Personalmarketing KG, Norddeutschland

 

Detailsuche


Blu-ray-Angebote
  1. 3 Blu-rays für 15 EUR
    (u. a. Wicked Blood, Little Big Soldier, McCanick, Empire)
  2. VORBESTELLBAR: King Kong - Steelbook [Blu-ray] [Limited Edition]
    19,99€ Release 19.02.
  3. 3 Blu-rays für 25 EUR
    (u. a. The Lego Movie, Hobbit, Gravity, Inglourious Basterds, Battleship)

 

Weitere Angebote


Folgen Sie uns
       


  1. Guardians of Peace

    Sony-Hack wird zum Politikum

  2. Urheberrecht

    Flickr Wall Art nutzt keine CC-Bilder mehr

  3. Rohrpostzug

    Hyperloop entsteht nach Feierabend

  4. IT-Bereich

    China will ausländische Technik durch eigene ersetzen

  5. Chaton

    Samsung schaltet seinen Messenger ab

  6. Lehrreiche Geschenke

    Stille Nacht, Bastelnacht

  7. Samsung NX300

    Unabhängige Firmware verschlüsselt Fotos

  8. Arbeiter in China

    BBC findet schlechte Arbeitsbedingungen bei Apple-Zulieferer

  9. Misfortune Cookie

    Sicherheitslücke in Routern angeblich weit verbreitet

  10. Deutscher Entwicklerpreis 2014 Summit

    Das dreifache Balancing für den E-Sport



Haben wir etwas übersehen?

E-Mail an news@golem.de



Jahresrückblick: Was 2014 bei Golem.de los war
Jahresrückblick
Was 2014 bei Golem.de los war
  1. In eigener Sache Golem.de sucht (Junior) Concepter/-in für Onlinewerbung
  2. In eigener Sache Golem.de offline und unplugged
  3. In eigener Sache Golem.de sucht Videoredakteur/-in

E-Mail-Ausfall in München: Und wieder wars nicht Limux
E-Mail-Ausfall in München
Und wieder wars nicht Limux
  1. Öffentliche Verwaltung Massiver E-Mail-Ausfall bei der Stadt München
  2. Limux Kopf einziehen und über Verschwörung tuscheln
  3. Limux Windows-Rückkehr würde München Millionen kosten

Nexus 6 gegen Moto X: Das Nexus ist tot
Nexus 6 gegen Moto X
Das Nexus ist tot
  1. Teardown Nexus 6 kommt mit wenig Kleber aus
  2. Google Nexus 6 kommt doch erst viel später
  3. Google Nexus 6 erscheint nächste Woche - doch nicht

    •  / 
    Zum Artikel